Durch die erfolgreiche Ausnutzung der Schwachstelle CVE-2024-21410 in Microsoft Exchange kann ein Angreifer Zugang zu Postfächern von Nutzern erhalten, deren Software Microsoft Outlook gegen die Schwachstelle CVE-2024-21413 verwundbar ist. Für beide Schwachstellen wurde von Microsoft im Februar-Patchday eine Lösung veröffentlicht. Warum die Gefahr dadurch nicht gebannt ist, erfahren Sie im Folgenden:
Bei der Sicherheitslücke CVE-2024-21413 wird ein uns allen bekannter Angriffsvektor genutzt: Phishing! Wir kennen die mittlerweile sehr gut formulierten E-Mails, die unsere Mitarbeitenden dazu verleiten sollen, über echt und vertrauenswürdig wirkende Webseiten-Links und im späteren Verlauf Webseiten diverse Anmeldeinformationen, persönliche Details oder gar Kontonummern preiszugeben. Glücklicherweise gibt es User Awareness Dienste, die unseren Mitarbeitenden vollautomatisiert und doch individualisiert erklären, wie sie sich und ihr Unternehmen vor solchen Gefahren schützen können.
Die genannte Sicherheitslücke kann ausgenutzt werden, wenn der Mitarbeitende sich falsch verhält. Hier reicht der Klick auf den Webseiten-Link aus, um den Prozess auszulösen. Durch den Aufruf des Webseiten-Links kommuniziert das E-Mail-Programm des Benutzers mit einem kompromittierten Server und übermittelt automatisch seine Anmeldeinformationen an den Angreifer, während sich der Benutzer in Sicherheit wiegt, weil auch nach mehrfachem Anklicken nichts Verdächtiges auf seinem Bildschirm passiert ist.
Der Angreifer kann infolgedessen die gesammelten Informationen nutzen, um durch Ausnutzung der Microsoft Exchange-Schwachstelle CVE-2024-21410 die Anmeldung zu umgehen und sich so Zugang zum E-Mail-Postfach des Mitarbeitenden zu verschaffen. Mit dem Zugriff auf dessen E-Mail-Postfach können alle enthaltenen Informationen gelesen und zum Angreifer übertragen werden, d.h. Namen von Kollegen und Kunden, E-Mail-Adressen, Adressinformationen, Firmennamen, Notizen, Kalendereinträge usw.
Die Schwachstellen in sowohl Microsoft Exchange als auch Microsoft Outlook wurden durch die bereits veröffentlichten Februar-Aktualisierungen vom Hersteller Microsoft geschlossen. Das Update ist öffentlich verfügbar und muss durch das IT-Personal auf die Anwender-Systeme übernommen werden. Im Falle der Outlook-Aktualisierung stellt dies kein Problem dar.
Im Falle des Microsoft Exchange Servers sind allerdings die IT-Administratoren gefordert, das aktuelle „Cumulative Update“ schnellstmöglich manuell zu installieren. Die manuelle Installation ist bei Microsoft Exchange Servern erforderlich, weil der Server während der Installation gestoppt werden muss und für Zugriffe nicht verfügbar ist.
Mit der Installation der Aktualisierung wird das Sicherheits-Feature „Extended Protection“ (EP) bzw. in vollem Namen „Extended Protection for Authentication (EPA)“ im Falle von Exchange 2019 standardmäßig aktiviert. Im Falle der Nutzung von Exchange Server 2013 und 2016 sind manuelle Schritte erforderlich, die am Ende des folgenden Technical Deep-Dives erläutert werden. Die Aktivierung von EP/EPA sorgt bei einer individualisierten Serverkonfiguration für einen erheblichen Mehraufwand in der Vorbereitung, bevor EP/EPA überhaupt aktiviert werden kann (siehe Technical Deep-Dive).
Erst mit der Installation beider Aktualisierungen und der Aktivierung des Features EP/EPA sind die Angriffe über die hier beschriebene Vorgehensweise nicht mehr möglich. Wir empfehlen die Aktualisierung sofort umzusetzen! Sollten Sie dabei Unterstützung benötigen, kommen Sie gern auf unseren ServiceDesk zu.
Technical Deep-Dive
Der Technical Deep-Dive baut auf den Informationen der vorherigen Abschnitte auf. Starten wir direkt bei dem auslösenden Element: der E-Mail.
Die Phishing-E-Mail in Outlook wird einen Link in Text- oder Medienform bereitstellen, um den Benutzer dazu zu verleiten, auch durch einen unabsichtlichen Klick den Link aufzurufen. Der Link führt allerdings nicht auf eine Webseite, auf der der Nutzer aufgefordert wird, persönliche oder betriebliche Daten einzugeben, sondern referenziert direkt auf eine Datei auf einem Dateiserver mit angehängtem Parameter.
In der Realität wird der Link auf eine öffentliche IP oder einen FQDN verweisen – zur Demonstration wird hier ein willkürlicher FQDN verwendet, um Dritten nicht durch Falschinformation Schaden zuzufügen. Der Link würde also im Mouse-Over so aussehen: „\\unternehmen.firma.tld\news\praktikumstag.rtf!start“. Wie man sieht, wird hier nicht mit dem https://-Protokoll gearbeitet, sondern mit dem file-Protokoll und damit mit SMB.
Würde der Link lediglich auf \\unternehmen.firma.tld\news\praktikumstag.rtf verweisen, sollte Outlook einen unerwarteten Fehler (Warnung) in der Notification-Area anzeigen. Gepaart mit dem Parameter „!start“ oder einem beliebig anderen hingegen, wird die Linkprüfung von Microsoft Outlook umgangen und die angezeigte Ressource ausgeführt, was gleichzeitig die Schwachstelle darstellt.
Der Aufruf des Links erfolgt entsprechend mittels SMB. Für den Benutzer passiert im Frontend effektiv nichts; für ihn sieht es so aus, als wäre der Link einfach nicht funktionsfähig. Die Schwachstelle bringt Windows dazu, den Link in z.B. Microsoft Word als Hintergrund-Prozess (COM-Dienst) auszuführen. Da es sich um einen Aufruf via SMB handelt, stellt Windows einen NTLM Session Request mit den Anmeldedaten des Benutzers, wodurch der Benutzername, der NTLM Hash (gehashtes Passwort, nicht Klartext-Passwort) usw. abgegriffen werden können. Microsoft selbst hat die kritische Bewertung eines über diesen Vorgang durchgeführten Angriffs bereits teilweise zurückgezogen; gleichzeitig wächst aber die Anzahl der möglichen Exploits stark an, was vermutlich das globale Aufkommen von Phishing-Mails weiter erhöhen könnte. Durch die mitgeschnittenen NTLM-Daten kann nun ein NTLM-Relay-Angriff durch Ausnutzung der Schwachstelle CVE-2024-21410 erfolgen. Der Angriff verfolgt dabei das Prinzip „Pass the Hash“, indem durch die Schwachstelle die Authentifizierung nicht durch Benutzer + Passwort erfolgen muss, sondern auch durch die mitgeschnittenen Daten erfolgen kann.
EP/EPA
EP/EPA wird bereits seit Längerem von Microsoft Exchange unterstützt und konnte bislang optional aktiviert werden. Die Mindest-Serverversionen für die Nutzung sind:
- Exchange Server 2013 CU23 (Build 15.00.1497.040) – August 2022
- Exchange Server 2016 CU23 (Build 15.01.2507.012) – August 2022
- Exchange Server 2019 CU12 (Build 15.02.1118.012) – August 2022
Die standardmäßige Aktivierung von EP/EPA erfolgt lediglich in Exchange Server 2019 mit Übernahme der Exchange Server 2019 CU14 (KB5035606). Auf den anderen Versionen 2013 & 2016 kann EP/EPA optional aktiviert werden; dazu erforderlich sind o.g. Versionen.
EP/EPA setzt voraus, dass
- TLS 1.2 aktiviert ist
- eine URL-Freigabe beim ausgehenden HTTPS-Proxy eingetragen ist
- der eingehende HTTPS-Proxy mit demselben Zertifikat arbeitet wie der/die Exchange Server
- der eingehende HTTPS-Proxy kein SSL-Offloading verwendet
- das intern verwendete Zertifikat dasselbe ist wie das extern verwendete
Sofern Unterstützung bei der Umsetzung gewünscht ist, kommen Sie gern auf unseren ServiceDesk zu. Telefonisch erreichen Sie den ServiceDesk unter der Nummer 0541 9493111.